- Нарушители и вирусы
1. Нарушители и вирусы
2. Защита от нарушителей и стратегии выбора пароля.
3. Защита от вирусов.
Одной из важных проблем безопасности является злонамеренные попытки вторжения, предпринимаемые пользователями или ПО. Вопросы вторжения относятся к защите сетей и к защите комплексных систем.
Существует 2 самые распространенные угрозы безопасности:
· нарушители;
· вирусы.
Андерсон предложил следующую классификацию нарушителей:
1. Имитатор. Лицо, не имеющее права пользования компьютером, но преодолевшее механизм управления доступом и использующее права доступа легального пользователя.
Рекомендуемые материалы
2. Правонарушитель. Легальный пользователь, пытающийся получить доступ к данным, программам или ресурсам, прав доступа к которым он не имеет. (или имеет, но использует в злонамеренных целях)
3. Тайный пользователь. Лицо, завладевшее правами управления системой и использующее эти права для обхода средств аудита и управления доступом либо для создания препятствий в регистрации системных событий.
Целью нарушителя является получение доступа к системе или расширение своих прав. Для этого ему в большинстве случаев требуется знании пароля.
В любой системе существует файл (БД), связывающий пароли с именами легальных пользователей. Он должен быть защищен.
Файл паролей может защищаться с помощью следующих способов:
1. Одностороннее шифрование (хеширование).
2. Управление доступом. Доступ к файлу паролей разрешается ограниченному числу пользователей.
Существует множество методов получения паролей.
Например:
1. Проверка паролей по умолчанию для стандартных учетных записей, поставляемых с системой. Многие администраторы не меняют установленные по умолчанию значения.
2. Перебор коротких паролей (1 … 3 символа).
3. Проверка слов из списка наиболее вероятных паролей.
4. Сбор информации о пользователях (имена, имена родственников, даты, книги, фильмы, увлечения и т.д.).
5. Проверка № телефонов, № комнат пользователя.
6. Использование «троянского коня».
7. Перехват трафика.
2 основных метода противодействия нарушителям:
· предупреждение нарушителей;
· обнаружение вторжений.
Для предупреждений очень важен выбор пароля.
Итак, по собственному выбору многие пользователи создают либо слишком короткие, либо легко угадываемые пароли.
Если пользователю предоставить случайно выбранный пароль из 8 символов, то угадать его будет очень сложно. Однако, и запомнить такой пароль пользователю будет тяжело.
Цель состоит в том, чтобы предотвратить выбор пользователем легко угадываемого пароля и сохранить возможность выбора легко запоминаемого пароля.
Решение этой задачи достигается за счет следующий средств:
· обучение пользователей;
· генерирование паролей компьютером;
· реактивная проверка пароля;
· упреждающая проверка пароля.
Стратегия обучения пользователя в большинстве случаев оказывается малоэффективной. Одни пользователи будут просто игнорировать рекомендации, другие просто не смогут оценить, насколько надежными являются выбранные ими пароли. Например, многие наивно полагают, что запись слова в обратном порядке или изменение нескольких букв на прописные делает невозможным расшифровать пароль.
Если генерировать пароли с помощью компьютера в виде случайных наборов букв и цифр, то пользователю будет трудно их запомнить следовательно, они будут стремиться их записать. Хотя существуют автоматические генераторы паролей и один из самых лучших описан в документе FIPS PUB 181 (содержащий исходный код на С).
Стратегия реактивной проверки состоит в том, что система периодически запускает программу, обнаруживающую легко угадываемые пароли.
Недостатки такого подхода: выполнение проверки требует большого расхода ресурсов.
Пароли уязвимы, пока не проверены программой.
Самым многообещающим методом является стратегия упреждающей проверки паролей.
Пользователю разрешается выбирать пароль по своему усмотрению, но в процессе выбора система проверяет пароль на соответствие установленным требованиям и, если необходимо, отвергает его.
Возможные подходы к реализации, упреждающей проверки паролей:
1. Состоит в создании системы контроля за соблюдением определенных правил. Например:
· все пароли должны содержать не менее 8-ми символов;
· среди них должна присутствовать одна строчная буква, одна прописная, одна цифра, один знак пунктуации.
Правила сопровождающиеся инструкциями для пользователя. Недостатки: схема дает нарушителю информацию о том, какие пароли не следует проверять.
2. Создание большого словаря потенциально «плохих» паролей (черный список).
Система проверяет, не попадает ли в него пароль, вводимый пользователем.
Недостатки:
a) проблема объема (словарь одной из систем 30 Мбайт);
b) проблема времени.
На сегодняшний день перспективными считаются 2 методики проведения эффективной и надежной упреждающей проверки паролей:
I. На основе Марковской модели
II. На основе фильтра Блюма
III. На основе использования Марковской модели генерирования угадываемых паролей.
В общем случае Марковская модель задается четырьмя значениями [m, A, T, k],
где m – число состояний модели (число символов языка);
A – пространство состояний (алфавит);
T – матрица вероятностей переходов;
k – порядок модели.
Для модели порядка k вероятность перехода к тому или иному символу алфавита зависит от значений k предыдущих символов. Рассмотрим, схему Марковской модели первого порядка. Модель задает язык, алфавит которого состоит из 3-х символов (a, b, c). Состояние системы в любой момент идентифицируется последним выбранным символом. Коэффициенты переходов из одного состояния в другое задаются вероятностями следования одних символов за другими.
Например, вероятность того, что следующей буквой будет b при условии, что текущей является буква a, равна 0,5 (b=0,5 или c=0,5). Каждый следующий символ зависит от 1-ого предыдущего M = {3, {a,b,c}, T, 1},
где 
Пример строки, вероятной для этого языка: abbcacaba. Пример строки, не являющейся вероятной для этого языка: aacccbaaa.
При построении Марковской модели 2-ого порядка сначала создается словарь легко угадываемых паролей. После этого вычисляется матрица переходов T следующим образом:
1. Определяется матрица частот f, где элемент 
соответствует числу появлений триграмм, состоящих из i-ого, j-ого, k-ого символов. Например, пароль parsnips содержит триграммы par, ars, rsn, sni, nip, ips.
2. Для каждой биграммы ij вычисляется 
– как общее число триграмм, начинающихся с ij. Например: 
представляет собой общее число триграмм вида aba, abb, abc и т.д.
3. Элементы матрицы T вычисляется по формуле 
В результате получается модель, отражающая структуру слов в словаре.
Для введенного пароля можно найти вероятности переходов для всех триграмм.
Затем (с помощью стандартных статистических тестов) можно выяснить, оказывается ли данный пароль строкой, вероятной или невероятной для данной модели. Пароли, которые с определенной долей вероятности порождаются данной моделью, отвергаются. Авторы утверждают, что для модели 2-ого порядка получаются хорошие результаты.
Предложенная система находит практически все пароли из словаря и, вместе с тем, не отбрасывает слишком много потенциально хороших паролей, оставаясь дружественной по отношению к пользователю.
Поход, основанный на использовании фильтра Блума.
Рассмотрим принцип работы фильтра.
Фильтр Блума порядка k состоит из k независимых функций хеширования 
, где каждая функция отображает пароль в значение хеширования из диапазона от 0 до 
. Т.о. 
, где 
- 
-ое слово в словаре паролей; 
- число слов в словаре паролей.
Далее к словарю применяется следующая процедура:
1. Определяется таблица хеширования из 
битов, все биты устанавливаются в 0.
2. Для каждого пароля вычисляется 
соответствующих значений хеширования, и соответствующих биты в таблице хеширования устанавливаются в 1. Так, если для некоторых 
и получается 
, то шестьдесят седьмой бит таблицы хеширования устанавливается в 1. (Если значение бита уже было равно 1, то оно не меняется).
Когда программе проверки предъявляется новый пароль, она вычисляет значений хеширования для этого пароля. Если все соответствующие биты таблицы хеширования оказываются равными 1, пароль отвергается. Все пароли из словаря будут отвергнуты. Однако, будут наблюдаться и некоторые «ошибочные срабатывания» (т.е. будут отвергнуты и некоторые пароли, не включенные в словарь, но порождающие отвергающую таблицу хеширования).
Например, рассмотрим схему с 2-мя функциями хеширования. Пусть в словаре есть пароли: undertaker – пароль 1 и hulkhogan – пароль 2, но нет пароля xG%#jj98 – пароль 3. Допустим, что
Т.о. пароль 3 вышеописанная система отвергнет, не смотря на то, что его нет в словаре.
Необходимо выбрать такую схему хеширования, при которой ошибочные срабатывания были бы сведены в минимуму.
Преимущество: проверка пароля по методу Блума предполагает вычисление всего нескольких функций хеширования, не зависящих от размеров словаря.
Обнаружение вторжений
Возможны 2 подхода к проблеме обнаружения нарушений:
1) Обнаружение на базе статистических отклонений. Предусматривает сбор данных, характеризующих проведение легальных пользователей, в течение определенного времени. Затем эти данные анализируются с применением статистических методов, чтобы определить, соответствует ли поведение определенного пользователя поведению легального пользователя или нет.
Например: обнаружение по пороговым значениям. Предполагает ведение учета частоты возникновения событий определенного типа, за определенный интервал времени. Если частота превышает значение, которое считается разумным, то система рассматривает событие как вторжение нарушителя.
Это могут быть следующие критерии:
a) частота входов в систему по дням и часам (нарушители вероятнее всего попытаются сойти в систему в нерабочее время).
b) частота входов в систему из разных мест (нарушители могут входить в систему из таких мест, где соответствующий пользователь бывает редко или никогда).
c) объем передаваемых данных (слишком большие объемы данных, передаваемые в удаленные узлы).
d) число вводов неправильных значений пароля.
2) Обнаружение на базе правил.
Предполагает разработку набора правил, на основании которых принимается решение о том, что данный тип поведении является поведением нарушителя.
Пример типов правил:
a) пользователь должен читать файлы, находящиеся в личном каталоге другого пользователя;
b) пользователи не имеют права записывать информацию в файлы других пользователей;
c) пользователь не копирует системные программы и т.п.
Основным средством обнаружения нарушений является аудит.
Можно использовать:
1. Системный аудит. (Практически все сетевые ОС содержат специальное ПО. Преимущества: не требуется дополнительного ПО. Недостатки: записи могут не содержать необходимой информации.)
2. Специальное ПО. (Специальное ПО, генерирующее записи, содержащие только данные, необходимые для обнаружения нарушений. Преимущества: независимость от поставщика ОС. Недостатки: дополнительная нагрузка на систему, т. к. выполняются 2 программы аудита).
Записи аудита по мере их появления проверяются на базе правил. Если обнаруживается совпадение – увеличивается рейтинг подозрения пользователей заданный порог – обнаружение аномалии.
Защита от вирусов
На эту тему написано сотни книг, борьбой с компьютерными вирусами занимается тысячи специалистов. Но тема остается актуальной – это одна из распространенных причин потери информации. Убытки от компьютерных вирусов составляют астрономические суммы.
Официально считается, что термин «компьютерный вирус» впервые употребил сотрудник Лехайского университета (США) Ф. Коэн в 1984г. на 7-й конференции по безопасности информации (США). С тех пор строгого определения так и нет. Основная трудность: практически все отличительные черты вируса либо присущи также программам, которые вирусами не являются, либо существуют вирусы, которые не содержат указанных черт (внедрение в другие объекты, скрытность и т.д.). Т.е. невозможность однозначно выделить отличительные признаки, присущие только вирусам.
Вирусы – программы, которые могут создавать свои дубликаты (не всегда совпадающие с оригиналом) и внедрять их в файлы и/или сети, системные области компьютера и другие выполняемые объекты.
Дубликаты сохраняют способность к дальнейшему распространению.
Причина создания вирусов – комплекс неполноценности и неуравновешенная психика, исследователи брешей в защите систем.
5 июля 1992г. объявлен выпуск в свет первый конструктор вирусов для IBM-PC – совместимых компьютеров – VCL (Virus Creation Laboratory).
Общая схема классификации программ-угроз.
Данная классификация условна.
Лазейка – секретная точка входа в программу, позволяющая получить доступ в обход стандартных процедур защиты. Используются для ускорения отладки и тестирования программ. Например, обход процедуры аутентификации, требующей ввода различных параметров. Лазейка реагирует на специальную последовательность, введенную с клавиатуры, либо активизируется на ввод определенного идентификатора пользователя.
Логические бомбы – один из самых старых типов вредоносных программ. Это код, внедренный в полезную программу, который должен «взрываться» при выполнении определенных условий (имя пользователя, дата и т.п.).
Троянские кони – программа, содержащая скрытый код, который после запуска программы-носителя выполняет нежелательные действия.
Вирус – программа, которая может «заражать» другие программы путем их модификации. В модифицированную программу включается код вируса и она заражает другие программы.
«Черви» - используют сетевые средства (протоколы и команды) для распространения (электронную почту, ftp, удаленный вызов программ и т.д.).
Бактерии – программы, воспроизводящие сами себя. Скорость распространения растет экспоненциально, что приводит к захвату ресурсов компьютера и отказ пользователю в доступе.
Вирусы можно разделить на классы по следующим основным принципам:
· среда обитания (файловые, загрузочные, макровирусы, сетевые);
· ОС (резидентные, стелс);
· особенности алгоритма работы;
· и т.д.
Типы вирусов:
· Паразитные вирусы – файловые (добавляет свой код к исполняемым файлам и размножается при каждом запуске инфицированной программы);
· Резидентный вирус (размещается в ОП и инфицирует любую запускаемую программу)
· Загрузочный вирус (инфицирует загрузочную запись или загрузочный сектор и распространяется с зараженного диска). Как говорят в народе: «На горе лежит дискета. У нее запорчен бит. Через дырочку в конверте ее вирусы грызут.»
· Вирус–невидимка (стелс) – имеющий специальные защитные средства, защищающие его от обнаружения антивирусными программами. Например, перехватывают запросы ОС на чтение-запись и временно лечат.
· Полиморфный (мимикрирующий вирус) – код которого изменяется при каждом новом заражении (например, самошифрующиеся вирусы). Их тяжело обнаружить.
· Макровирусы – инфицирует документы (Word, Excel). Существуют благодаря существованию автоматических макросов (при открытии или закрытии файла, запуск приложения и т.д.). Могут находиться в шаблоне normal.dot (автоматически выполняются при запуске Word или создании документа).В современной версии Word встроена защита от макровирусов (выявляет подозрительные файлы и предупреждает пользователя об опасности).
«Гонка вооружений» в области вирусов продолжается.
Методы обнаружения и удаления.
Способы противодействия вирусам можно разделить на несколько групп:
a) профилактика вирусного заражения и уменьшение предполагаемого ущерба от заражения; (как в медицине).
b) использование антивирусных программ (для обезвреживания и удаления известного вируса);
c) обнаружение и удаление неизвестного вируса.
Компьютерная профилактика предполагает соблюдение некоторых правил. Чтобы определить правила, необходимо знать пути проникновения вируса в компьютер или сеть. Основным источником вируса на сегодняшний день – Internet:
· обмен письмами в формате Word/Office.
· файл-серверы общего пользования (ftp, электронные конференции)
· локальные сети
· нелегальные копии ПО (на дискетах и CD-дисках)
· ПК общего пользования (в учебном заведении)
· правила защиты
· использование проверки файлов и компьютеров антивирусными программами
· ограничение прав пользователя
Если Вам понравилась эта лекция, то понравится и эта - 2 - Прокладка и счисление пути судна.
· проверка на «лету» (постоянная проверка на вирусы объектов, к которым происходит обращение или копирование)
· использование резидентно загруженного антивирусного монитора
· ограничение круга лиц, работающих на компьютере
· резервные копии
· проверка дискет и CD
Наиболее эффективный в борьбе с вирусами антивирусные программы, но не 100%. Невозможность существования абсолютного антивируса была доказана математически на основе теории конечных автоматов Фредом Коэном.
